Meldung von Datenschutzverletzungen
Die gesetzliche Pflicht, Datenschutzverletzungen innerhalb festgelegter Fristen den Aufsichtsbehörden und betroffenen Personen zu melden.
Die Meldung von Datenschutzverletzungen ist die Verpflichtung von Organisationen, die zuständigen Behörden und betroffene Personen zu informieren, wenn eine Verletzung des Schutzes personenbezogener Daten auftritt. Gemäß der DSGVO müssen Verantwortliche die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung benachrichtigen, die ein Risiko für die Rechte und Freiheiten von Personen darstellt (Artikel 33). Ist die Verletzung voraussichtlich mit einem hohen Risiko verbunden, muss der Verantwortliche auch die betroffenen Personen unverzüglich informieren (Artikel 34). Die Meldung muss die Art der Verletzung, die ungefähre Anzahl betroffener Personen und Datensätze, die wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung beschreiben.
Andere Vorschriften haben unterschiedliche Meldeanforderungen. Der CCPA verlangt die Benachrichtigung betroffener kalifornischer Einwohner, wenn ihre unverschlüsselten personenbezogenen Daten kompromittiert werden. PIPEDA verlangt die Meldung an den Privacy Commissioner of Canada und betroffene Personen bei Verletzungen, die ein reales Risiko erheblichen Schadens darstellen. Brasiliens LGPD verlangt die Meldung an die ANPD und betroffene Personen bei Verletzungen, die ein Risiko oder Schaden verursachen können. Organisationen, die in mehreren Rechtsordnungen tätig sind, müssen die jeweils strengsten anwendbaren Meldeanforderungen verfolgen und einhalten.